Pasukan In-House vs Syarikat Keselamatan Siber Luar: Mana Lebih Praktikal?
Setiap CIO Malaysia menghadapi soalan sama: bina pasukan pentest dalaman atau outsource kepada syarikat keselamatan siber luar? Jawapannya bukan binari. Panduan ini memecahkan kos sebenar 3 tahun untuk kedua-dua pilihan, menerangkan keperluan audit independence yang diminta regulator, dan menggariskan model hibrid yang berfungsi untuk kebanyakan organisasi pertengahan-besar Malaysia. Termasuk peranan vCISO sebagai jambatan strategik antara pasukan dalaman dan vendor luar.
Apa yang anda bayar dalam pasukan dalaman
Membina pasukan pentest dalaman bukan sekadar gaji. Komponen kos sebenar termasuk: gaji asas dan EPF/SOCSO, latihan dan sijil berterusan (OSCP, OSWE, GPEN), alat berlesen (Burp Suite Pro, Tenable, Cobalt Strike, Frida Pro), persekitaran ujian terkawal, langganan threat intelligence, dan masa pengurusan.
Bagi pasukan dua orang di Klang Valley pada gaji pasaran 2026 (senior pentester berpengalaman 6+ tahun, junior 2-3 tahun), gaji asas tahunan sekitar RM30,000-RM40,000 sebulan untuk senior dan RM12,000-RM16,000 untuk junior. Ditambah EPF, SOCSO, EIS, insurans dan elaun, kos majikan adalah ~30% lebih tinggi daripada gaji kasar.
Latihan dan sijil ialah pelaburan berterusan. Sijil OSCP berharga sekitar USD1,500-USD2,000 setiap percubaan, dengan kursus tambahan untuk OSWE, OSED dan CRTO. Latihan tahunan untuk kedua-dua jurutera realistik RM30,000-RM50,000 setahun untuk pasukan yang ingin terus relevan.
TCO 3 tahun: jadual perbandingan
Untuk memahami pilihan secara konkrit, jadual berikut memperincikan kos 3 tahun untuk kedua-dua pendekatan, berdasarkan keperluan organisasi pertengahan tipikal Malaysia: 5 aplikasi web kritikal, 1 aplikasi mobile, infrastruktur cloud sederhana, dan keperluan audit BNM atau ISO 27001 tahunan.
| Komponen | In-House (3 tahun) | Outsource (3 tahun) |
|---|---|---|
| Gaji + EPF + benefit | ~RM1,800,000 | — |
| Latihan & sijil | ~RM120,000 | — |
| Alat berlesen | ~RM200,000 | — |
| Persekitaran ujian | ~RM60,000 | — |
| Pentest tahunan (5 web) | — | ~RM450,000 |
| Pentest mobile tahunan | — | ~RM120,000 |
| Pentest cloud tahunan | — | ~RM90,000 |
| Red team / purple team | — | ~RM300,000 |
| Pengurusan pasukan | ~RM150,000 | ~RM30,000 |
| JUMLAH ANGGARAN | ~RM2,330,000 | ~RM990,000 |
| Coverage | Berterusan, dalaman | Episodik, bebas |
Keperluan audit independence
Salah satu sebab terkuat untuk outsource adalah jangkaan independence daripada regulator dan juruaudit. BNM RMiT secara tradisi menjangkakan pentest dilakukan oleh pasukan yang bebas daripada CIO dan pasukan pembangunan. Pasukan dalaman yang melaporkan kepada CIO sama tidak memenuhi standard ini dalam praktik.
ISO 27001 (kawalan A.12.6.1) menjangkakan pengurusan kerentanan teknikal, yang dalam praktiknya termasuk ujian bebas. Juruaudit luar sering bertanya 'siapa menjalankan pentest ini dan kepada siapa mereka melapor?'. Jawapan 'pasukan dalaman yang melapor kepada CIO' sering mencetuskan finding kelemahan independence.
PCI-DSS Requirement 11.3 lebih eksplisit: penguji mesti 'qualified' dan 'organizationally separate from those who manage the systems being tested'. Bagi peniaga pembayaran, ini selalunya bermaksud vendor luar.
Bila in-house masuk akal
Walaupun kos tinggi dan cabaran independence, pasukan dalaman memberi nilai dalam beberapa konteks. Bank besar dan GLC kritikal dengan kapasiti untuk membina pasukan saiz pasukan (5+ jurutera dengan pengurusan berasingan) boleh mencapai independence dalaman dengan pemisahan organisasi yang ketat.
Pasukan dalaman juga memberikan nilai operasi yang vendor tidak boleh: pemahaman mendalam tentang produk, kehadiran berterusan untuk soalan keselamatan harian, kebolehan untuk meninjau threat model untuk setiap ciri baharu, dan tindak balas insiden segera.
Bagi organisasi yang menghadapi ancaman serius dan berterusan (institusi kewangan utama, telekomunikasi, utiliti), kebanyakan adalah hibrid: pasukan dalaman untuk operasi harian, vendor luar untuk audit tahunan dan red team. Kos digabungkan tetapi tahap perlindungan adalah jauh lebih tinggi.
Model hibrid yang berfungsi
Bagi kebanyakan organisasi pertengahan-besar Malaysia, model hibrid memberikan keseimbangan terbaik antara kos, kawalan dan pematuhan. Komponen tipikal: satu atau dua security engineer dalaman yang menjalankan vulnerability management, code review, threat modeling, dan onboarding teknikal vendor. Vendor luar untuk pentest tahunan, audit pematuhan, dan red team.
Kos hibrid untuk organisasi pertengahan: ~RM800,000-RM1,200,000 setahun (1-2 jurutera dalaman + outsource selektif). Lebih mahal daripada outsource tulen tetapi memberi kapasiti operasi yang outsource semata-mata tidak dapat.
Kunci kepada hibrid yang berjaya ialah kejelasan peranan. Pasukan dalaman tidak menggantikan vendor — mereka menjadi pengurus akaun teknikal yang membolehkan vendor lebih berkesan. Vendor pula memberi independence, alat khusus, dan threat intelligence yang sukar dikekalkan oleh pasukan kecil dalaman.
Peranan vCISO sebagai jambatan strategik
Banyak organisasi pertengahan tidak mampu CISO sepenuh masa (gaji RM30,000-RM50,000 sebulan untuk profil senior). vCISO (virtual/fractional CISO) memberi kepimpinan strategik 2-5 hari sebulan pada kos RM15,000-RM40,000 sebulan, bergantung kepada skop.
vCISO biasa: menetapkan strategi keselamatan, mempersembahkan kepada lembaga dan jawatankuasa risiko, mengurus hubungan dengan juruaudit dan pengawal selia, dan menyelaras antara pasukan dalaman dan vendor luar. Mereka tidak melakukan kerja pentest sendiri, tetapi memastikan program pentest selaras dengan keperluan perniagaan dan risiko.
Bagi PKS dan syarikat pertengahan Malaysia, gabungan vCISO + 1 security engineer dalaman + vendor pentest luar adalah model yang sangat berkesan. Ia memberi kepimpinan, kapasiti operasi, dan independence audit pada kos yang masuk akal.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah talent pentest tempatan mencukupi di Malaysia?
Pasaran kemahiran pentest di Malaysia ketat tetapi tidak mustahil. Senior pentester dengan OSCP dan pengalaman 5+ tahun adalah sumber yang sangat dicari, dengan gaji yang naik dengan cepat dalam 3 tahun lalu. Junior pentester lebih mudah dicari, tetapi pelaburan latihan untuk mengangkat mereka kepada tahap senior adalah substantial (12-18 bulan, termasuk pelaburan sijil). Banyak syarikat Malaysia menghadapi attrition tinggi — junior dilatih, mendapat OSCP, dan kemudian beralih ke firma yang lebih besar atau ke Singapura untuk gaji 2-3x lebih tinggi. Model outsource atau hibrid mengelakkan risiko ini dengan menukar belanja modal kepada belanja operasi.
Bolehkah pasukan in-house memenuhi keperluan CREST?
Boleh dalam teori, tetapi mahal dalam praktik. CREST mempunyai dua peringkat: sijil individu (CRT, CCT, CHECK Team Member/Leader) dan sijil firma (CREST member company). Sijil individu boleh diperolehi oleh mana-mana penguji yang lulus peperiksaan. Sijil firma memerlukan firma untuk lulus audit organisasi merangkumi metodologi, kualiti, governance dan continuity. Banyak organisasi tidak akan melalui audit firma CREST untuk pasukan dalaman kerana usaha yang signifikan. Inilah salah satu sebab outsource kepada firma CREST-bersijil adalah jalan praktikal untuk memenuhi keperluan CREST.
Adakah outsource bermakna kami kehilangan kawalan?
Tidak, jika perjanjian disusun dengan betul. Outsource yang efektif memberi anda lebih kawalan kerana anda menjadi pembeli yang menetapkan keperluan. Vendor yang baik akan: (1) memberikan akses langsung kepada jurutera, bukan melalui account manager sahaja, (2) berkongsi metodologi mereka secara terbuka, (3) memberikan eksport penuh penemuan dalam format yang anda boleh consume (JSON, Markdown, integrasi Jira), (4) tidak menahan IP pelanggan. Yang anda kehilangan ialah 'kawalan harian' atas individu — yang mana, ironinya, sering tidak baik kerana ia membawa kepada konflik antara keselamatan dan delivery. Vendor luar yang baik secara struktur bebas membantu pasukan anda.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.